[求助]怎样获得加载驱动的是哪个进程？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]怎样获得加载驱动的是哪个进程？

发表于: 2019-3-26 17:00 3742

[求助]怎样获得加载驱动的是哪个进程？

yirucandy

2019-3-26 17:00

3742

使用ZwLoadDriver加载的驱动，在PsSetLoadImageNotifyRoutine回调中可以获得加载sys的进程。但通过服务加载的sys， PsSetLoadImageNotifyRoutine回调的参数ProcessId是0，使用PsGetCurrentProcessId获得的是4。

请问x64内核中怎么获得服务加载驱动方式的进程，我知道hook应用层sc管理器是一种方法，请问还有其它方法吗？

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (3)
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 2 楼 hook CreateService and StartService 2019-3-26 23:31 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼其实还有一种办法，就是你去拦截用户态发往services.exe的LPC消息，就能拿到是那个进程创建的服务。但是这个办法不适用于x64，因为需要SSDT Hook...... 2019-3-27 03:45 0
cmputer 雪币： 1244 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	cmputer 4 楼最后于 2019-4-15 20:07 被cmputer编辑，原因： 2019-4-13 23:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yirucandy

发帖

回帖

320

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 2 楼 hook CreateService and StartService 2019-3-26 23:31 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼其实还有一种办法，就是你去拦截用户态发往services.exe的LPC消息，就能拿到是那个进程创建的服务。但是这个办法不适用于x64，因为需要SSDT Hook...... 2019-3-27 03:45 0
cmputer 雪币： 1244 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	cmputer 4 楼最后于 2019-4-15 20:07 被cmputer编辑，原因： 2019-4-13 23:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]怎样 获得加载驱动的是哪个进程？

[求助]怎样获得加载驱动的是哪个进程？